☁️ Исследователи кибербезопасности обнаружили уязвимость в Google Cloud Platform, позволяющую злоумышленникам повышать привилегии и получать доступ к конфиденциальным данным.

Уязвимость, названная ConfusedFunction, может использоваться для доступа к различным сервисам, включая облачную сборку, хранилище, реестр артефактов и реестр контейнеров. Учетная запись службы облачной сборки, создаваемая в фоновом режиме, может стать причиной вредоносной деятельности из-за своих чрезмерных разрешений.

После ответственного раскрытия Google обновил поведение по умолчанию, но изменения не распространяются на существующие экземпляры.

Подробнее: https://extrim-security.ru/news-ib/tpost/t84u7kc891-issledovateli-viyavili-uyazvimost-confus

🤡 На прошлой неделе стало известно о целых пяти инцидентах со взломом компаний, которые занимаются информационной безопасностью! Алексей Лукацкий выпустил краткий обзор на все пять случаев.

- Fractal ID стала жертвой утечки данных через API, 0,5% пользовательской базы было скомпрометировано.

- Leidos столкнулась с утечкой внутренних документов из-за взлома подрядчика Diligent.

- KnowBe4 наняла северокорейского хакера, который загрузил вредоносный код на ноутбук.

- CrowdStrike стала жертвой кражи списка индикаторов компрометации из своей инфраструктуры.

- Аванпост подтвердил взлом, но детали пока неизвестны.

Читать статью полностью

🦾 Специалисты из F.A.C.C.T. Threat Intelligence обнаружили новые киберугрозы от группировки XDSpy, направленные на российские компании.

Злоумышленники используют фишинговые письма с предложением скачать RAR-архив, содержащий легитимный исполняемый файл с расширением .exe и вредоносную динамически подключаемую библиотеку msi.dll.

Эта библиотека служит загрузчиком, отвечающим за запуск файла полезной нагрузки, который классифицируется как XDSpy.DSDownloader.

Подробнее: https://extrim-security.ru/news-ib/tpost/dhh96outd1-obnaruzheni-ataki-gruppi-xdspy-s-ispolzo

📨 Субъект угрозы SideWinder, предположительно связанный с Индией, начал новую кампанию кибершпионажа, нацеленную на порты и морские объекты в Индийском океане и Средиземном море.

SideWinder использует фишинг-рассылку для доставки вредоносных полезных данных, которые запускают цепочки атак. После открытия файла-приманки он использует известную брешь в системе безопасности CVE-2017-0199 для установления контакта с вредоносным доменом, который маскируется под Генеральное управление портов и судоходства Пакистана "reports.dgps-govtpk.com", чтобы извлечь RTF-файл.

Документ RTF загружает документ, который использует CVE-2017-11882, еще одну многолетнюю уязвимость в редакторе Microsoft Office Equation Editor, с целью выполнения шелл-кода, отвечающего за запуск кода JavaScript.

Подробнее: https://extrim-security.ru/news-ib/tpost/9mdx9eliz1-novie-kiberataki-sidewinder-natseleni-na

📲 Специалисты по мобильной безопасности из компании Zimperium обнаружили более 107 000 уникальных образцов вредоносного ПО для перехвата одноразовых паролей (ОТР) на устройствах Android.

Злоумышленники используют различные методы для распространения вредоносного ПО, включая обманчивую рекламу, ботов Telegram и фишинговые письма.

После установки вредоносного приложения, оно запрашивает разрешение на доступ к входящим SMS-сообщениям, перехватывает их и отправляет информацию на сервер командования и контроля.

Подробнее: https://extrim-security.ru/news-ib/tpost/dd5vn5i581-mobilnaya-ugroza-krazha-sms-soobschenii

🌐 В мире кибербезопасности появилась новая угроза - атака "Легкой наживы" (Easy Money), которая использует слабости в системе доменных имен (DNS) для захвата доменов без взлома учетных записей владельцев. Более миллиона доменов оказались уязвимыми для этой атаки.

Злоумышленники могут использовать захваченные домены для распространения вредоносного ПО, фишинга и спама. Проблема заключается в неправильной конфигурации у регистраторов, которые могут использовать устаревшие методы проверки, позволяющие злоумышленникам подделывать запросы на изменение DNS-записей.

Подробнее: https://extrim-security.ru/news-ib/tpost/kcxnfdf9h1-legkaya-nazhiva-novaya-ugroza-dlya-domen

🤕 Казахстан стал мишенью масштабной кибератаки, осуществляемой группировкой, получившей название "Кровавый волк". Злоумышленники используют вредоносное ПО STRRAT для проникновения в корпоративные сети и кражи конфиденциальных данных.

Он способен выполнять широкий спектр задач: удаленный контроль, кража данных, персистенция, сетевая активность. Все пошаговые действия направлены на кражу данных и использование их в корыстных целях.

По классике: первый ход атаки - это фишинговые письма💀

Подробнее: https://extrim-security.ru/news-ib/tpost/ekhh6se3a1-krovavii-volk-napadaet-na-kazahstan

⚙️ Исследователи из Технического университета Граца обнаружили новую атаку на ядро Linux, названную SLUBStick.

Она использует уязвимости в системе управления памятью SLUB и представляет серьезную угрозу для безопасности. Атака основана на "уязвимости кучи" и "побочном канале синхронизации", позволяющих злоумышленнику манипулировать памятью.

SLUBStick демонстрирует высокую эффективность, работая на 99% версий ядра Linux 5.9 и 6.2, обходя современные механизмы защиты.

Подробнее: https://extrim-security.ru/news-ib/tpost/kch7y71nf1-slubstick-novaya-ugroza-dlya-yadra-linux

🥷🏻 LianSpy - это шпионское ПО, которое, по данным экспертов из Kaspersky, атакует пользователей в России, по крайней мере, с 2021 года.

Это вредоносное ПО маскируется под популярные приложения, такие как Alipay, или же под системные сервисы Android, что делает его практически неотличимым от легитимного программного обеспечения.

LianSpy использует Yandex Cloud для командно-контрольных коммуникаций (C2) как способ избежать наличия выделенной инфраструктуры и избежать обнаружения.

Подробнее: https://extrim-security.ru/news-ib/tpost/u9zdzka541-nevidimii-shpion-v-vashem-android

🚨 В 2008 году была обнаружена уязвимость, известная как 0.0.0.0 Day, которая до сих пор не устранена в популярных браузерах.

Она позволяет вредоносным сайтам обходить защиту и взаимодействовать с сервисами в локальной сети пользователей. Уязвимость затрагивает только устройства под управлением Linux и macOS.

0.0.0.0 — это "wildcard" IP-адрес, который может олицетворять все IP-адреса на локальной машине или все сетевые интерфейсы на хосте. Браузеры обычно не запрещают сайтам отправлять запросы на этот адрес, что позволяет им взаимодействовать с сервисами в локальной сети пользователя.

Подробнее: https://extrim-security.ru/news-ib/tpost/jpi5vdtp21-0000-day-18-letnyaya-uyazvimost-kotoraya

🔨 Компания Microsoft сообщила о четырёх уязвимостях средней степени опасности в программном обеспечении OpenVPN. Они могут позволить злоумышленникам получить полный контроль над целевыми устройствами, что может привести к утечке данных, компрометации системы и несанкционированному доступу к конфиденциальной информации.

Уязвимости связаны с компонентами openvpnserv и драйвером Windows TAP. Для их эксплуатации злоумышленникам требуется аутентификация пользователя OpenVPN. Под угрозой находятся все версии OpenVPN до 2.6.10 и 2.5.10.

Подробнее: https://extrim-security.ru/news-ib/tpost/7x689seuj1-openvpn-pod-ugrozoi

🗂 Компания Microsoft обнаружила уязвимость в пакете Office, которая позволяет злоумышленникам получить доступ к защищенным данным, включая хеши NTLM.

CVE-2024-38200 затрагивает несколько версий Office, включая Office 2016, Office 2019, Office LTSC 2021 и Microsoft 365 Apps for Enterprise. Злоумышленники могут использовать специально подготовленный файл для эксплуатации уязвимости, убедив пользователя перейти по ссылке и открыть этот файл.

📌 Microsoft работает над исправлением ошибки, но дата его выпуска пока неизвестна. Временный фикс доступен через Feature Flighting 7/30/2024. Microsoft рекомендует блокировать исходящий NTLM-трафик для пользователей, которым не требуется эта технология, но это может помешать легальному доступу к серверам, использующим NTLM-аутентификацию.

Подробнее: https://extrim-security.ru/news-ib/tpost/egxf74n3h1-microsoft-office-snova-uyazvim

❗️В первой половине 2024 года количество DDoS-атак увеличилось на 46% по сравнению с аналогичным периодом прошлого года. Во втором квартале 2024 года число атак достигло 445 000, демонстрируя рост на 34% по сравнению с предыдущими шестью месяцами.

Хотя пиковая мощность атаки в первом полугодии 2024 года увеличилась незначительно (с 1,6 Тбит/с в 2023 году до 1,7 Тбит/с в 2024 году), это все же значительный рост. Для сравнения, скорость передачи данных в терабит/с (Tbps) представляет собой огромный объем данных, способный перегрузить сетевую инфраструктуру, что эквивалентно одновременной передаче более 212 000 видеопотоков высокой четкости.

Большинство DDoS-атак непродолжительны, но их частота и интенсивность могут вызывать существенные сбои в работе.

Подробнее: https://extrim-security.ru/news-ib/tpost/nd8urvrrh1-pugayuschii-rost-ddos-atak-v-2024-godu

☠️ Microsoft выпустила предупреждение о критической уязвимости TCP/IP в системах Windows с включенным IPv6.

Уязвимость CVE-2024-38063 получила оценку CVSS 9.8 и связана с целочисленным переполнением, которое может привести к выполнению произвольного кода злоумышленниками.

Атака осуществляется через многократную отправку специально сформированных IPv6-пакетов, которые активируют уязвимость до обработки брандмауэром. Все системы Windows 10, Windows 11 и Windows Server подвержены этой уязвимости.

Подробности: https://extrim-security.ru/news-ib/tpost/s1y67jd0s1-ugroza-dlya-vseh-sistem-windows-s-ipv6

💢 На прошлой неделе в блоге Совета по международным отношениям (CFR) была опубликована статья об импортозамещении в России.

Её автор, Джастин Шерман, предложил использовать разведку по открытым источникам (OSINT) для изучения защищенности операционной системы Astra Linux. Шерман призывает США и их партнёров следить за российским рынком с помощью OSINT, анализируя информацию с киберконференций и изучая государственные контракты.

Он также утверждает, что разработчики Astra Linux имеют меньше возможностей для тестирования и защиты своего кода из-за отсутствия широкой аудитории.

Подробнее: https://extrim-security.ru/news-ib/tpost/2z6kpo6ae1-kak-ssha-predlagayut-sledit-za-rossiei-c

🚘 🌚 Автомобильная компания Toyota вновь стала жертвой киберпреступников. Хакерская группа ZeroSevenGroup опубликовала на форуме архив с 240 ГБ данных, украденных из систем американского филиала Toyota.

В числе похищенной информации оказались данные сотрудников, клиентов, контракты, финансовая информация и сетевая инфраструктура. Хакеры использовали инструмент ADRecon для извлечения информации из сред Active Directory.

Toyota подтвердила утечку, но не раскрыла подробности.

Подробнее: https://extrim-security.ru/news-ib/tpost/3nfrcjdkz1-toyota-240-gb-dannih-utekli-v-set

📨 Xeon Sender - инструмент для проведения масштабных атак SMS-фишинга и спам-кампаний. Он использует API легитимных сервисов, таких как Amazon Simple Notification Service (SNS), Nexmo, Plivo, Proovl, Send99, Telesign, Telnyx, TextBelt и Twilio, для отправки SMS-сообщений.

Злоумышленники могут получить доступ к этим сервисам, используя украденные учетные данные или поддельные профили. Xeon Sender позволяет злоумышленникам отправлять миллионы SMS-сообщений за короткий промежуток времени, что делает их атаки очень эффективными.

Распространение Xeon Sender происходит через Telegram и хакерские форумы. Важно отметить, что активность злоумышленников не связана с уязвимостями, присущими самим сервисам, а основывается на злоупотреблении их легитимными API.

Подробнее: https://extrim-security.ru/news-ib/tpost/vv77eu7zv1-xeon-sender-stala-novoi-vozmozhnostyu-dl

👾Ваш код доступа – «Метод Хакера». Подкасты для тех, кто хочет быть на шаг впереди👾

📅 Практически каждый день в тематических новостных каналах ИБ появляются новости об утечках информации у компаний. С этой проблемой сталкиваются не только в России, наоборот, ее можно назвать проблемой мирового масштаба.

💡 В нашем четвертом выпуске мы разбираем деликатные подробности причин и последствий утечек данных. Совместно со Станиславом Юдинских, менеджером проектов команды StaffCop.

Слушать на Яндекс.Музыке, СберЗвуке и mave. Или прямо на нашем сайте

UPD: Теперь и в тг такая возможность есть)

🪟 👈🏻 Пользователи столкнулись с проблемами после августовского обновления, когда устройства с включенным Secure Boot, на которых установлены Windows и Linux, перестали работать.

Разработчики Microsoft установили Secure Boot Advanced Targeting (SBAT) для блокировки загрузчиков Linux, не защищенных от уязвимости CVE-2022-2601, чтобы повысить безопасность Windows. Однако, несмотря на заявления Microsoft, многие пользователи Linux обнаружили, что их системы перестали загружаться после установки августовских обновлений Windows.

Пользователи, пытающиеся решить проблему самостоятельно, сообщают, что удаление SBAT, удаление установки Windows и восстановление заводских настроек Secure Boot не помогают.

Подробнее: https://extrim-security.ru/news-ib/tpost/fhyvrkx0r1-avgustovskoe-obnovlenie-windows-sluchain

🌐 Разработчики Google выпустили экстренное обновление для браузера Chrome, которое исправляет несколько уязвимостей, включая 0-day баг, уже использованный в реальных атаках.

Одна из уязвимостей - CVE-2024-7971 - была обнаружена в JavaScript-движке V8 и относится к типу type confusion.

Google уже выпустила обновление Chrome 128.0.6613.84/.85 для Windows и macOS, а также версию 128.0.6613.84 для Linux, которое будет распространено среди всех пользователей Chrome в ближайшие недели.

Подробнее: https://extrim-security.ru/news-ib/tpost/631yl0hif1-chrome-devyatii-0-day-za-god-i-drugie-uy

💀 В начале 2024 года была обнаружена серьезная уязвимость в системе Microsoft 365 Copilot, которая могла использоваться для хищения данных.

Эта уязвимость, известная как "контрабанда ASCII", использовала специальные символы Unicode, визуально неотличимые от обычных символов ASCII, чтобы скрывать вредоносные гиперссылки в документах, генерируемых Copilot.

Успешная атака могла привести к потере доступа к аккаунтам, краже конфиденциальных данных, финансовым потерям и многим другим неприятным последствиям.

Подробнее: https://extrim-security.ru/news-ib/tpost/dkin6xf7b1-nevidimaya-opasnost-kak-zloumishlenniki